Khi thiết kế sản phẩm hoặc giao thức công nghệ, chúng ta thường phải đối mặt với sự đánh đổi giữa tiện lợi và bảo mật. Đôi khi, sự tiện lợi được ưu tiên hơn, điển hình như WPS cho thiết bị Wi-Fi hay UPnP, cho phép thiết bị tự mở cổng qua tường lửa. Tuy nhiên, có một giao thức mạng khác có phạm vi tương tự UPnP mà bạn cũng nên xem xét tắt trong bộ định tuyến (router) của mình: đó là NAT-PMP.
NAT-PMP (Network Address Translation Port Mapping Protocol) là một giao thức cho phép một thiết bị trong mạng gia đình yêu cầu router chuyển tiếp lưu lượng NAT từ một nguồn bên ngoài đến chính nó. Mặc dù NAT-PMP yêu cầu một số cấu hình để hoạt động đúng và an toàn hơn UPnP, nhưng nó vẫn tiềm ẩn rủi ro bảo mật đáng kể. Nếu các thiết bị của bạn không thực sự cần NAT-PMP, việc tắt nó trên router là một quyết định sáng suốt để tăng cường an ninh mạng. Đặc biệt, các thiết bị hoặc ứng dụng của Apple sử dụng dịch vụ Bonjour thường là những đối tượng chính sử dụng NAT-PMP.
NAT-PMP: Giao thức tiện lợi nhưng tiềm ẩn rủi ro bảo mật
NAT-PMP được thiết kế để đơn giản hóa quá trình mở cổng trên router, giúp các thiết bị trong mạng nội bộ dễ dàng truy cập từ bên ngoài hơn. Điều này đặc biệt hữu ích cho các ứng dụng yêu cầu kết nối trực tiếp, như chơi game online, gọi video hoặc chia sẻ file. Tuy nhiên, sự tiện lợi này lại đi kèm với những đánh đổi về bảo mật, biến NAT-PMP trở thành một điểm yếu tiềm tàng trong hệ thống mạng gia đình của bạn.
Việc hiểu rõ cách thức hoạt động và những rủi ro của NAT-PMP là rất quan trọng. Mặc dù nó có thể giúp một số ứng dụng hoạt động mượt mà hơn, nhưng những lỗ hổng bảo mật mà nó mang lại có thể khiến mạng của bạn dễ bị tấn công.
4 Lý do bạn nên cân nhắc tắt NAT-PMP ngay lập tức
1. Bản chất thiếu an toàn của NAT-PMP
Thiết kế đơn giản, bỏ qua bảo mật
Giống như UPnP, NAT-PMP được thiết kế để hoạt động nhẹ, đơn giản và được sử dụng trong các môi trường mà các client trong mạng được tin cậy một cách hợp lý. Chính vì vậy, nó không có bất kỳ khả năng bảo mật đáng kể nào được tích hợp sẵn trong giao thức. Tài liệu RFC của giao thức thậm chí còn khuyến nghị sử dụng IPsec để mã hóa tất cả lưu lượng mạng nếu bạn quan tâm đến bảo mật, điều này ngầm định rằng bản thân NAT-PMP không an toàn ngay từ đầu. Mặc dù có thể triển khai NAT-PMP theo cách hạn chế các mạng, giao diện hoặc client cụ thể sử dụng giao thức, nhưng điều này không làm cho nó an toàn hơn mà chỉ giúp thu hẹp phạm vi điều tra nếu có sự cố xảy ra.
Các lỗ hổng nghiêm trọng khi cấu hình sai
Nếu thiết bị gateway đang chạy NAT-PMP bị cấu hình sai, nó có thể gây ra một số vấn đề bảo mật nghiêm trọng, bao gồm:
- Thao túng ánh xạ NAT-PMP độc hại: Nếu không có danh sách kiểm soát truy cập nào giới hạn client nào có thể chuyển tiếp, kẻ tấn công có thể chặn lưu lượng TCP và UDP từ client nội bộ gửi đến thiết bị NAT-PMP, hoặc lưu lượng TCP và UDP bên ngoài, truy cập vào các dịch vụ phía sau thiết bị NAT, hoặc tấn công DDoS vào router.
- Chặn lưu lượng mạng nội bộ: Vấn đề này còn đi xa hơn việc chặn lưu lượng nội bộ đến thiết bị NAT-PMP, vì nó có thể cho phép các cuộc tấn công dựa trên DNS chống lại các thiết bị nội bộ và chuyển hướng yêu cầu HTTP hoặc HTTPS của chúng đến các máy chủ độc hại bên ngoài.
- Chặn lưu lượng mạng bên ngoài: Trong một số trường hợp, kẻ tấn công bên ngoài có thể chặn dữ liệu đến từ internet tới thiết bị NAT-PMP.
- Truy cập các client NAT nội bộ.
- Tấn công DDoS chống lại thiết bị NAT-PMP.
- Lộ kiến trúc mạng: Điều này cung cấp cho kẻ tấn công một “bản đồ” để điều hướng và tìm thấy các thiết bị dễ bị tấn công khác.
Thống kê đáng báo động về các thiết bị dễ bị tấn công
Mặc dù nhiều vấn đề này đã được khắc phục một phần trong các phiên bản mới của miniupnp, nhưng chúng vẫn là những nguy cơ tiềm tàng cho bất kỳ ai sử dụng NAT-PMP. Năm 2014, Rapid7 đã quét internet công cộng và phát hiện khoảng 1.2 triệu thiết bị được kết nối internet có bật NAT-PMP và dễ bị tấn công bởi các lỗ hổng đã đề cập. Con số này cho thấy mức độ rủi ro rộng lớn mà giao thức này có thể gây ra.
Bộ định tuyến Apple Airport trên nền xanh, minh họa cho việc các thiết bị Apple thường sử dụng NAT-PMP.
2. NAT-PMP đã lỗi thời và không còn cần thiết
Sự ra đời của PCP – Giao thức thay thế an toàn hơn
NAT-PMP dù an toàn hơn về mặt thiết kế so với UPnP, nhưng ngày nay nó không còn cần thiết nữa. Nó đã được thay thế bởi PCP (Port Control Protocol) vào năm 2013. PCP bổ sung hỗ trợ IPv6, nhiều ràng buộc hơn về cách tạo ánh xạ và một cách để mở rộng giao thức PCP để bao gồm các phương pháp xác thực và kiểm soát truy cập còn thiếu trong các giao thức trước đó có chức năng tương tự. Mặc dù không rõ có bao nhiêu thiết bị sử dụng PCP ngoài các thiết bị mạng doanh nghiệp, nhưng trong mọi trường hợp, việc chạy nó với các phương pháp xác thực sẽ giảm đáng kể bề mặt tấn công.
Hình ảnh router chơi game Reyee E6 AX6000, minh họa cho các thiết bị mạng hiện đại.
3. Tăng cường kiểm soát các cổng mở trên router của bạn
Ưu tiên nguyên tắc “không tin cậy” (Zero-Trust)
Trong khi NAT-PMP có thể là một công cụ tiện lợi, nhiều người dùng internet không muốn bất kỳ thứ gì tự động mở cổng vào mạng gia đình của họ mà không có sự đồng ý. Việc áp dụng nguyên tắc “không tin cậy” (zero-trust) là điều được khuyến khích, nghĩa là bạn muốn biết chương trình và thiết bị nào đang mở cổng ra bên ngoài và có quyền kiểm soát những gì chúng đang làm. NAT-PMP bỏ qua sự kiểm soát này, và các router cấp độ người tiêu dùng thường không đủ khả năng sử dụng các quy tắc tường lửa mạnh mẽ cần thiết để chỉ cho phép các thiết bị nhất định sử dụng giao thức.
Giải pháp cho router chuyên dụng và ưu nhược điểm
Tình hình có thể khác một chút nếu bạn đang sử dụng router chuyên dụng (prosumer) hoặc một router tự xây dựng chạy pfSense hoặc OPNsense. Các router này đều có thể đặt quy tắc từ chối mặc định và thêm danh sách trắng (whitelisting) để chỉ các thiết bị được ủy quyền mới có thể sử dụng giao thức NAT-PMP. Bằng cách đó, bạn có thể có các ánh xạ cổng được định nghĩa rõ ràng cho hầu hết các thiết bị, và một vài thiết bị đáng tin cậy sử dụng NAT-PMP vẫn có thể hoạt động. Tuy nhiên, tốt nhất vẫn là tắt hoàn toàn nó và xem có bao nhiêu thiết bị của bạn gặp sự cố. Rất có thể bạn sẽ không nhận thấy rằng nó không chạy.
Mớ dây cáp trong một hệ thống mạng gia đình, thể hiện sự phức tạp của việc quản lý mạng.
4. Ngăn chặn mã độc và botnet lợi dụng mạng gia đình của bạn
Nguy cơ từ các kết nối không xác thực
Bất kỳ dịch vụ nào có thể tạo kết nối ra internet từ mạng nội bộ của bạn mà không cần xác thực hoặc phê duyệt đều gây hại cho bảo mật, ngay cả khi nó không bao giờ được sử dụng cho mục đích xấu. Bạn sẽ không bao giờ có thứ gì trong nhà tự động mở cửa trước, cửa sau và vài cửa sổ nếu một người lạ yêu cầu, vậy tại sao bạn lại làm điều tương tự cho mạng của mình? UPnP và NAT-PMP đã nhiều lần bị lợi dụng để phân phối mã độc, tạo botnet, thực hiện tấn công DDoS và các loại tấn công kỹ thuật số khác.
Bài học từ các cuộc tấn công DDoS quy mô lớn
Cuộc tấn công DNS khổng lồ vào năm 2016 đã làm tê liệt gần như toàn bộ nước Mỹ trong nửa ngày. Cuộc tấn công này đã sử dụng cơ sở dữ liệu mật khẩu mặc định và các lỗi dễ khai thác trong các giao thức như UPnP và NAT-PMP để chiếm quyền điều khiển các thiết bị IoT và các thiết bị khác trong mạng gia đình, nhằm thực hiện cuộc tấn công DDoS quy mô lớn chống lại nhà cung cấp DNS Dyn. Sự tiện lợi trong việc thiết lập của các giao thức này phải trả giá bằng các mạng không an toàn, và sự đánh đổi này là không xứng đáng.
Router GL.iNet GL-AX1800 chạy OpenWrt, minh họa cho khả năng kiểm soát bảo mật nâng cao trên các thiết bị mạng.
Kết luận: Tắt NAT-PMP để bảo vệ mạng gia đình của bạn
Trong bối cảnh an ninh mạng ngày càng phức tạp, việc vô hiệu hóa NAT-PMP trên router của bạn là một biện pháp phòng ngừa quan trọng. Mặc dù nhiều router vẫn cung cấp NAT-PMP như một tùy chọn, nhưng danh sách các thiết bị sử dụng nó ngày nay khá ngắn. Các thiết bị Apple sử dụng dịch vụ Bonjour để khám phá và thiết lập dễ dàng giữa các sản phẩm của Apple, nhưng việc tắt NAT-PMP trong router sẽ không ảnh hưởng đến các dịch vụ đa hướng (multicast) mà Bonjour sử dụng trong mạng gia đình của bạn.
Nếu bạn gặp vấn đề với một số thiết bị sau khi tắt NAT-PMP, hãy thử liên hệ với bộ phận hỗ trợ khách hàng tương ứng để xem liệu họ có tùy chọn cấu hình thủ công nào không. Nếu không, bạn cần quyết định liệu có nên bật lại NAT-PMP cho những thiết bị đó hay thay thế chúng bằng các tùy chọn an toàn hơn. Rất có thể router tiêu dùng của bạn thậm chí không có NAT-PMP làm tùy chọn, trong trường hợp đó bạn đã đi trước một bước trong việc bảo vệ mạng của mình.
Hãy luôn ưu tiên bảo mật cho mạng gia đình của bạn. Đừng ngần ngại khám phá thêm các cài đặt bảo mật khác trên router để đảm bảo trải nghiệm internet an toàn nhất.